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SQL 注入 


介绍 


注入 攻击 的 本 质 ， 是 程序 把 用 户 输入 的 数据 当做 代码 执行 。 这 里 有 两 个 关键 条 件 ， 第 一 是 用 户 能 够 控 
制 输入 ; 第 二 是 用 户 输入 的 数据 被 拼接 到 要 执行 的 代码 中 从 而 被 执行 。sql 注入 漏洞 则 是 程序 将 用 户 
合 入 数据 拼接 到 了 sql 语句 中 ， 从 而 攻击 者 即 可 构造 、 改 变 sql 语义 从 而 进行 攻击 。 
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漏洞 示例 
示例 一 : 直接 通过 拼接 sql 


@RequestMapping (“/SqlInjection/ {id}”) 
public ModelAndView SqlInjectTest (@PathVariable String id) { 
String mysqldriver = “com. mysql. jdbc. Driver”; 
String mysqlurl = 
” jdbc :mysql://127. 0. 0. 1:3306/test?user=rootkpassword=123456&useUnicode=truekcharacterEn 





coding=ut f8k&autoReconnect=true’ ; 
String sql = “select * from user where id=” + id; 
ModelAndView mav = new ModelAndView(’ test2”) ; 
try { 
Class. forName (mysql driver) ; 
Connection conn = DriverManager. getConnection(mysqlurl) ; 
PreparedStatement pstt = conn. prepareStatement (sql) ; 


ResultSet rs = pstt. executeQuery () ; 


审计 策略 












































或 到 ， 如 果 只 是 代码 片段 快速 扫描 可 控制 的 参数 或 者 相关 的 sq] 关键 字 查看 。 
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这 种 一 般 可 以 直接 黑 



























































修复 方案 


见 示例 三 
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示例 二 : 预 编译 使 用 有 误 


@RequestMapping (“/SqlInjection/ {id}”) 
public ModelAndView SqlInjectTest (@PathVariable String id) { 
String mysqldriver = “com. mysql. jdbc. Driver”; 
String mysqlurl = 
” jdbc :mysql://127. 0. 0. 1:3306/test?user=rootkpassword=1 23456&useUni code=true&characterEn 
coding=ut f8k&autoReconnect=true’ ; 
String sql = “select * from user where id= ?”; 
ModelAndView mav = new ModelAndView("test2”) ; 
try{ 
Class. forName (mysql driver) ; 
Connection conn = DriverManager. getConnection(mysqlurl) ; 
PreparedStatement pstt = conn. prepareStatement (sql) ; 
//pstt. setObject (1, id); // 一 般 使 用 有 误 的 是 没有 用 这 一 句 。 编 码 者 以 为 在 上 面 的 
sal 语句 中 直接 使 用 占 位 符 就 可 以 了 。 常 见于 新 手写 的 代码 中 出 现 。 
ResultSet rs = pstt. executeQuery () ; 



















































































审计 策略 














TS 











这 种 一 般 可 以 直接 黑 盒 找 到 ， 如 果 只 是 代码 片段 快速 扫描 可 控制 的 参数 或 者 相关 的 sql 关键 字 查看 。 
查看 预 编译 的 完整 性 ， 关 键 函 数 定位 set0bject () 、setInt 0 、setString() setSQLXML O 关联 上 下 
文 搜索 set 开头 的 函数 。 





































































































修复 方案 


见 示 例 三 


示例 三 ， YM Coracle 中 模糊 查询 ) 问题 


” 


@RequestMapping (”/SqlInjection/ {id}”) 
public ModelAndView SqlInjectTest (@PathVariable String id) { 
String mysqldriver = “com. mysql. jdbc. Driver”; 
String mysqlurl = 
” jdbc :mysql://127. 0. 0. 1:3306/test?user=rootkpassword=1 23456&useUnicode=true&characterEn 


coding=utf8&autoReconnect=true’ ; 





String sql = “select * from user where id= ?”; 





ModelAndView mav = new ModelAndView("test2”) ; 
try { 
Class. forName (mysql driver) ; 


Connection conn = DriverManager. getConnection(mysqlurl) ; 
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PreparedStatement pstt 





pstt. setObject (1, id); // 使 用 预 编译 


conn. prepareStatement (sql) ; 





NN 
译 

















ResultSet rs = pstt. executeQuery () ; 


审计 策略 





不 
(=) 


定位 相关 sql 语 名 上下文， 查看 是 




















修复 方案 





















































显 式 过 滤 机 制 。 
















































































上 面 的 代码 片段 即使 这 样 依然 存在 sal 注入 , 原因 是 没有 手动 过 滤 %。 预 编译 是 不 能 处 理 这 个 符号 的 ， 
所 以 需要 手动 过 滤 ， 和 否则 会 造成 慢 查 询 ， 造 成 dos。 
示例 四 : order by 问题 
String sql = “Select * from news where title =?” + “order by ‘” + time + “’ asc” 
审计 策略 
定位 相关 sal 语句 上 下 文 ， 碍 看 是 否 有 显 式 过 滤 机 制 。 
修复 方案 
预 编译 处 理 的 只 能 通过 拼接 处 理 ， 所 以 需要 手动 过 








类 似 上 面 的 这 种 sql 语句 order by 后 面 是 不 能 用 


中 间 件 框架 sql 注入 
Mybatis 框架 

介绍 

漏洞 示例 


示例 一 : 1ike 语句 
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Select * from news where title like ‘%#{title}%’ 
这 样 写 程序 会 报错 ， 研 发 人 员 将 SQL 查询 语句 修改 如 下 : 
Select * from news where title like ‘%${title}%’ 
这 时 候 程序 将 不 再 报错 但 是 可 能 会 造成 sql 注入 。 















































审计 策略 











在 注解 中 或 者 Mybatis 相关 的 配置 文件 中 搜索 $ 。 然 后 查看 相关 sal 语句 上 下 文 环境 。 























修复 方案 


采用 下 面 的 写法 
select * from news where tile like concat( ‘%’ ,#{title}, “%”) 并 且 上 下 文 环 境 中 手动 过 滤 % 




















示例 二 : in 语句 


Select * from news where id in (#{id}), 
这 样 写 程 序 会 报错 ， 研 发 人 员 将 SQL 查询 语句 修改 如 下 : 
Select * from news where id in (${id}), 


修改 SQL 语句 之 后 ， 程 序 停止 报错 ， 但 是 可 能 会 产生 SQL 注入 漏洞 。 















































审计 策略 





在 注解 中 或 者 Mybatis 相关 的 配置 文件 中 搜索 $ 。 然 后 查看 相关 sal 语句 上 下 文 环境 。 





























修复 方案 





采用 下 面 写法 
select * from news where id in 


<foreach collection="ids” item="item” open=” (“separator=",” close=”)”>#{item} </foreach> 


AP =: order by 语句 


as 


Select * from news where title = ‘java 代码 审计 ” order by #{time} asc, 


这 样 写 程序 会 报错 ， 研 发 人 员 将 SQL 查询 语句 修改 如 下 : 


> 





























Select * from news where title = ‘java 代码 审计 ” order by ${time} asc, 


修改 之 后 ， 程 序 通 过 但 可 能 会 造成 sql 注入 问题 
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审计 策略 

















在 注解 中 或 者 Mypatis 相关 的 配置 文件 中 搜索 $ 。 然 后 查看 相关 sql 语句 上 下 文 环境 。 














修复 方案 





手动 过 滤 用 户 的 输入 。 


Hibernate 框架 
介绍 


漏洞 示例 


session. createQuery( from Book where title like ’%” + userInput + “% and pu 


blished = true”) 
审计 策略 


搜索 createQuery () 函数 ， 查 看 与 次 函数 相关 的 上 下 文 。 








修复 方案 
采用 类 似 如 下 的 方法 
方法 一 


Query query=session. createQuery( “from User user where user.name=:customername and 
user:customerage=:age ” ); 

e ée ” Py 
query. setString( “customername” , name) ; 


query. setInteger( “customerage” , age) ; 
方法 二 


Query query=session. createQuery(“from User user where user. name=? and user. age =? ” ); 
query. setString (0, name) ; 


query. set Integer (1, age) ; 
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My — 
方法 三 
String hql=” from User user where user. name=:customername ” 


Query query=session. createQuery (hql) ; 


query. setParameter( “customername” , name, Hibernate. STRING) ; 
方法 四 


Customer customer=new Customer () ; 

customer. setName( “pansl” ); 

customer. setAge (80) ; 

Query query=session. createQuery( “from Customer c where c.name=:name and c.age=:age ” ); 


query. setProperties (customer) ; 


XSS 


介绍 


对 于 和 后 端 有 交互 的 地 方 没 有 做 参数 的 接收 和 输入 输出 过 滤 , 导致 恶意 攻击 者 可 以 插入 一 些 
恶意 的 js 语句 来 获取 应 用 的 敏感 信息 。 


漏洞 示例 

















@RequestMapping (”/xss”) 
public ModelAndView xss(HttpServletRequest request, HttpServletResponse 
response) throws ServletException, IOException { 
String name = request. getParameter (“name”) ; 
ModelAndView mav = new ModelAndView("mmc”) ; 
mav. getModel (). put (“uname”, name) ; 


return mav; 


审计 策略 


扫描 所 有 的 HttpServletRequest 查看 相关 的 上 下 文 环境 。 
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修复 方案 























全 局 编写 过 滤器 
1、 首 先 配置 web. xml]， 添 加 如 下 配置 信息 : 
<filter> 











<filter-name>xssAndSqlFilter</filter-name> 
<filter-class>com. cup. cms. web. framework. filter. XssAndSqlFilter</filter- 
class> 
</filter> 
<filter-mapping> 
<filter-name>xssAndSqlFilter</filter-name> 
<url-pattern>*</url-pattern> 
</filter-mapping> 
2、 编 写 过 滤器 
public class XSSFilter implements Filter { 
@Override 
public void init (FilterConfig filterConfig) throws ServletException { 
} 
@Override 
public void destroy() { 
} 
@Override 
public void doFilter(ServletRequest request, ServletResponse response 
FilterChain chain) 
throws IOException, ServletException { 
chain. doFilter (new XSSRequestWrapper ( (Ht tpServletRequest) 


request), response) ; 


} 


coe 








再 实现 ServletRequest 的 包装 类 


w 
/ 
+n 








import java. util. regex. Pattern; 
import javax. servlet. http. HttpServletRequest; 
import javax. servlet. http. HttpServletRequestWrapper; 
public class XSSRequestWrapper extends HttpServletRequestWrapper { 
public XSSRequestWrapper (HttpServletRequest servletRequest) { 
super (servletRequest) ; 
} 
@Override 
public String[] getParameterValues (String parameter) { 


Stringl] values = super. getParameterValues (parameter) ; 
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if (values 


return null; 


} 


int count = values. length; 
Stringl] encodedValues 
for (int i = 0; i < count; i++) { 


encodedValues[i] = stripXSS(values[i]); 


} 


return encodedValues; 


} 


@Override 


public String getParameter (String parameter) { 
String value 


return stripXSS (value) ; 


} 


@Override 


public String getHeader (String name) { 
String value 


return stripXSS (value) ; 


} 


private String stripXxSS (String value) { 
if (value != null) { 


new String[count]; 


super. getParameter (parameter) ; 


super. getHeader (name) ; 


// NOTE: It’s highly recommended to use the ESAPI library 


and uncomment the following line to 
// avoid encoded attacks. 
// value = ESAPI. encoder (). canonicalize (value) ; 
// Avoid null characters 
value 
// Avoid anything between script tags 


Pattern Pattern. compile (” (. *?)”, 


Pattern. CASE_INSENSITIVE) ; 


value 


// 


src="http://www. yihaomen. com/article/java/...” 


SC 


Pattern. compile (“sre[\r\n]*=[\r\n]#\\\ (#2) \\V ”, 
Pattern. MULTILINE | Pattern. DOTALL) ; 
value = scriptPattern. matcher (value). replaceAl1(””) ; 


SC 


Pattern. compile (“sre[\r\n]*=[\r\n]*\\\" © *2) \\\’”, 


Pattern. MULTILINE | Patter 


value 
// Remove any lonesome 


scriptPattern 


value. replaceAl1 ( 

scriptPattern 
scriptPattern. matcher (value). replaceAll(””) ; 
type of expression 


Pattern. CASE INSENSITIVE 


Pattern. CASE INSENSITIVE 





scriptPattern. matcher (value). replaceAll (^); 


Pattern. compile ( 


nn 


Ea 


Pattern. CASE INSENSITIVE) ; 

value = scriptPattern. matcher (value). replaceAll(””) ; 

// Remove any lonesome tag 

scriptPattern = Pattern. compile (””, 
Pattern. CASE INSENSITIVE | Pattern. MULTILINE | Pattern. DOTALL) ; 

value = scriptPattern. matcher (value). replaceAll(’”) ; 

// Avoid eval(...) expressions 

scriptPattern = Pattern. compile(“eval\\((¢ *?)\\)”, 
Pattern. CASE INSENSITIVE | Pattern. MULTILINE | Pattern. DOTALL) ; 

value = scriptPattern. matcher (value). replaceAll(””) ; 

// Avoid expression(...) expressions 

scriptPattern = Pattern. compile (“expression\\(( *?) \\)”, 
Pattern. CASE INSENSITIVE | Pattern. MULTILINE | Pattern. DOTALL) ; 

value = scriptPattern. matcher (value). replaceAll(’”) ; 

// Avoid javascript:... expressions 

scriptPattern = Pattern. compile (” javascript:”, 
Pattern. CASE INSENSITIVE) ; 

value = scriptPattern. matcher (value). replaceAll(””) ; 

// Avoid vbscript:... expressions 

scriptPattern = Pattern. compile ("vbscript:”, 
Pattern. CASE INSENSITIVE) ; 

value = scriptPattern. matcher (value). replaceAll(””) ; 

// Avoid onload= expressions 

scriptPattern = Pattern. compile (“onload (. *?) =", 
Pattern. CASE INSENSITIVE | Pattern. MULTILINE | Pattern. DOTALL) ; 

value = scriptPattern. matcher (value). replaceAll(””) ; 


} 


return value; 











首先 添加 一 个 jar 包 : commons-lang-2. 5. jar ， 然 后 在 后 台 调 用 这 些 函 数 : 
StringEscapeUtils. escapeHtml (string) ; 




















tringEscapeUtils. escapeJavaScript (string) ; 





tringEscapeUtils. escapeSql (string) ; 


方法 三 


org. springframework. web. util. HtmlUtils 可 以 实现 HTML 标签 及 转 义 字符 之 间 的 转换 。 
代码 如 下 : 
/*x HTML FEX xx*/ 
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String string = HtmlUtils. htmlEscape (userinput) ; // 转 义 
String s2 = HtmlUtils. htmlUnescape (string) ; // 转 成 原来 的 


XXE 


介绍 











XML 文档 结构 包括 XML 声明 、DTD 文档 类 型 定义 《可 选 ) 、 文 档 元 素 。 文 档 类 型 定义 (DTD) 的 作用 


























rant 
fit 











X XML 文档 的 合法 构建 模块 。DTD 可 以 在 XML 文档 内 声明 ， 也 可 以 外 部 引用 。 


内 部 声明 DTD: 
引用 外 部 DTD: 
当 人 允许 引用 外 部 实体 时 ， 恶 意 攻 击 者 























即 可 构造 恶意 内 容 访 问 服务 器 资源 , 如 读 取 passwd 文件 





T 


<?xml version="1.0" encoding="UTF-8"?> 


<!DOCTYPE replace [ 
<!ENTITY test SYSTEM "file:///ect/pass 
<msg>&test;</msg> 


漏洞 示例 


wd">]> 


此 处 以 org. dom4j. io. SAXReader 为 例 , 仅 展示 部 分 代码 片段 : 


String xmldata = request.getParameter( 


"data"); 





SAXReader sax=new SAXReader();// 创 建 一 个 SAXReader 对 象 
Document document=sax.read(new ByteArraylnputStream(xmldata.getBytes()));// 获 取 document 对 象 ,如 











果 文档 无 节点 ， 则 会 抛 出 Exception 提前 结束 








Element root=document.getRootElement();// 获 取 根 节点 


List rowList = root.selectNodes("//msg"); 


Iterator<?> iter1 = rowList.iterator(); 


if (iter1.hasNext()) { 


Element beanNode = (Element) iter1.next(); 


modelMap.put("success", true); 


modelMap.put("resp",beanNode.getTextTrim()); 


审计 策略 

































































XML 解析 一 般 在 导入 配置 、 数 据 传输 




















口 等 场景 可 能 会 用 到 , 涉及 到 XML 文件 处 理 的 场景 可 留意 下 XML 








解析 器 是 否 禁 用 外 部 实体 ， 从 而 判断 是 否 存 在 XXE。 部 分 XML 解析 接口 如 下 : 





javax.xml.parsers.DocumentBuilder 
javax.xml.stream.XMLStreamReader 


org.jdom.input.SAXBuilder 
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org.jdom2.input.SAXBuilder 

javax.xml.parsers.SAXParser 

org.dom4j.io.SAXReader 

org.xml.sax.XMLReader 

javax.xml.transform.sax.SAXSource 

javax.xml.transform.TransformerFactory 

javax.xml.transform.sax.SAXTransformerFactory 

javax.xml.validation.SchemaFactory 

javax.xml.bind.Unmarshaller 

javax.xml.xpath.XPathExpression 

XMLInputFactory (a StAX parser) 

xmllnputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false); // This disables DTDs entirely for that 
factory 

xmllnputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false); // disable external 
entities 

TransformerFactory 

TransformerFactory tf = TransformerFactory.newlnstance(); 
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, ""); 
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, ""); 

Validator 

SchemaFactory factory = SchemaFactory.newlnstance("http://www.w3.org/2001/XMLSchema’"); 
Schema schema = factory.newSchema(); 

Validator validator = schema.newValidator(); 
validator.setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, ""); 
validator.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, ""); 

SchemaFactory 

SchemaFactory factory = SchemaFactory.newlnstance("http://www.w3.org/2001/XMLSchema’"); 
factory.setProperty(XMLConstants.ACCESS _EXTERNAL_DTD, ""); 
factory.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, ""); 

Schema schema = factory.newSchema(Source); 

SAXTransformerFactory 

SAXTransformerFactory sf = SAXTransformerFactory.newlnstance(); 
sf.setAttribute(XMLConstants.ACCESS _EXTERNAL_DTD, ""); 
sf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, ""); 

sf.newXMLFilter(Source); 

Note: Use of the following XMLConstants requires JAXP 1.5, which was added to Java in 7u40 and Java 8: 
javax.xml.XMLConstants.ACCESS_EXTERNAL_DTD 
javax.xml.XMLConstants.ACCESS_EXTERNAL_SCHEMA 
javax.xml.XMLConstants.ACCESS_EXTERNAL_STYLESHEET 

XMLReader 

XMLReader reader = XMLReaderFactory.createXMLReader(); 
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false); // This may 


not be strictly required as DTDs shouldn't be allowed at all, per previous line. 
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reader.setFeature("http://xml.org/sax/features/external-general-entities", false); 


reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 


SAXReader 


saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 


saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false); 


saxReader.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 


Based on testing, if you are missing one of these, you can still be vulnerable to an XXE attack. 
SAXBuilder 
SAXBuilder builder = new SAXBuilder(); 


builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true); 


builder.setFeature("http://xml.org/sax/features/external-general-entities", false); 


builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 


Document doc = builder. build(new File(fileName)); 


Unmarshaller 


SAXParserFactory spf = SAXParserFactory.newlnstance(); 


spf.setFeature("http://xml.org/sax/features/external-general-entities", false); 


spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 


spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false); 


Source xmlSource = new SAXSource(spf.newSAxXParser().getXMLReader(), new InputSource(new 


StringReader(xml))); 


JAXBContext jc = JAXBContext.newlnstance(Object.class); 


Unmarshaller um = jc.createUnmarshaller(); 


um.unmarshal(xmlSource); 


XPathExpression 


DocumentBuilderFactory df = DocumentBuilderFactory.newlnstance(); 
df.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, ""); 
df.setAttribute(XMLConstants.ACCESS_EXTERNAL_SCHEMA, ""); 


DocumentBuilder builder = df.newDocumentBuilder(); 


String result = new XPathExpression().evaluate( builder.parse(new 


ByteArrayInputStream(xml.getBytes())) ); 


修复 方案 














LE X 





L 解析 器 时 需要 设置 


tFea 


tFea 
































~~ 
Th 

















OT 


cabs 


性 ， 禁 止 使 用 外 部 实体 ， 以 上 例 中 SAXReader 为 例 ， 安 全 的 使 
































ture (“http://apac 





he. org/xml/features/disallow-doctype-decl”, true); 


ture (“http://xml. org/sax/features/external-general-entities”, false); 


tFeature (“http://xml. org/sax/features/external—parameter-entities”, false); 








方式 





L 解析 器 的 安全 使 用 可 参考 OWASP XML External Entity (XXE) Prevention Cheat Sheet 
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java 
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XML 问题 


介绍 


使 用 不 可 信 数 据 来 构造 XML 会 导致 XML 注入 漏洞 。 一 个 用 户 ， 如 果 他 被 允许 输入 结 
构 化 的 XML 片段 ， 则 他 可 以 在 XML 的 数据 域 中 注入 XML 标签 来 改写 目标 XML 文档 的 结构 与 
内 容 。XML 解析 器 会 对 注入 的 标签 进行 识别 和 解释 。 

























































































漏洞 示例 


private void createXMLStream(Buffered0utputStream outStream, User user) throws 
IOException 

{ 

String xmlString; 

xmlString = “<user><role>operator</role><id>” + user. getUserId () 

+ ”</id><description>” + user. getDescription() + 

”</description></user>’ ; 

outStream. write (xmlString. getBytes()) ; 

outStream. flush () ; 

} 
某 个 恶意 用 户 可 能 会 使 用 下 面 的 字符 串 作为 用 户 I 
” joe</id><role>administrator</role><id> joe” 并 使 用 如 下 正常 的 输入 作为 描述 字段 : 
“I want to be an administrator” 最 终 ， 整 个 XML 字符 串 将 变 成 如 下 形式 : 


<user> 























YS 



























































<role>operator</role> 

<id> joe</id> 

<role>administrator</role> 

<id> joe</id> 

<description>I want to be an administrator</description> 
</user> 
































fi 


















































role SNA ti — A role 域 的 值 ， 因 此 导致 此 用 户 角色 由 操作 员 提 升 为 了 管理 员 。 


审计 策略 


全 局 搜索 如 下 字符 


StreamSource 





XMLConstants 
StringReader 
在 项 目 中 搜索 Xsd 文件 
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由 于 SAX 解析 器 Corg. xml. sax and javax. xml. parsers. SAXParser) 在 解释 XML 文档 时 会 闪 





修复 方案 


private void createXMLStream(BufferedOutputStream outStream, User user) throws 
IOException 

{ 

if (!Pattern. matches (”[ a-bA-B0-9]+”, user. getUserId())) 

{ 

} 

if (!Pattern. matches (”[_a-bA-B0-9]+”, user. getDescription())) 
{ 

} 

String xmlString = “<user><id>” + user. getUserId() 

+ ”</id><role>operator</role><description>” 





+ user. getDescription() + ”</description></user>” ; 

outStream. write (xmlString. getBytes()) ; 

outStream. flush () ; 

} 

这 个 方法 使 用 白 名 单 的 方式 对 输入 进行 清理 ， 要 求 输入 的 userId 字段 中 只 能 包含 字母 、 数 
字 或 者 下 划 线 。 
public static void buidlXML (FileWriter writer, User user) throws IOException 


{ 


Document userDoc = DocumentHelper. createDocument () ; 




































































Element userElem = userDoc. addElement (“user”) ; 
Element idElem = userElem. addElement (“id”) ; 
idElem. setText (user. getUserId()) ; 

Element roleElem = userElem. addElement (“role”) ; 


roleElem. setText (“operator”) ; 





Element descrElem = userElem. addElement (“description”) ; 





descrElem. setText (user. getDescription(); 





XMLWriter output = null; 

try 

{ 

OutputFormat format = OutputFormat. createPrettyPrint () ; 
format. setEncoding (“UTF-8”) ; 

output = new XMLWriter(writer, format); 
output. write (userDoc) ; 

output. flush Q) ; 

} 

finally 

{ 

try 

{ 

output. close() ; 


} 
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catch (Exception e) 


{ 






































这 个 正确 示例 使 用 dom4j 来 构建 XML, dom4j 是 一 个 良好 定义 的 、 开 源 的 XML 工具 库 。Dom4j 
将 会 对 文本 数据 域 进行 XML 编码 ， 从 而 使 得 XML 的 原始 结构 和 格式 免 受 破坏 。 


反 序 列 化 漏洞 


介绍 


序列 化 是 让 Java 对 象 脱离 Java 运行 环境 的 一 种 手段 ， 可 以 有 效 的 实现 多 平台 之 间 的 通信 、 对 象 持 
久 化 存储 。 只 有 实现 了 Serializable 和 Externalizable 接口 的 类 的 对 象 才能 被 序列 化 。 

Java 程序 使 用 Object InputStream 对 象 的 readObject 方法 将 反 序 列 化 数据 转换 为 java 对 象 。 但 当 
输入 的 反 序 列 化 的 数据 可 被 用 户 控制 ,那么 攻击 者 即 可 通过 构造 恶意 输入 ， 让 反 序 列 化 产生 非 预 期 的 
对 象 ， 在 此 过 程 中 执行 构造 的 任意 代码 。 


漏洞 示例 






















































































































































































示例 一 反 序 列 化 造成 的 代码 执行 


漏洞 代码 示例 如 下 : 
// 读 取 输 入 流 , 并 转换 对 象 


InputStream in=request. getInputStream() ; 

















ObjectInputStream ois = new ObjectInputStream(in) ; 
// 恢 复 对 象 


ois. readQb ject 


mm 
一 


ois. close(); 
上 述 代 码 中 ， 程 序 读 取 输入 流 并 将 其 反 序列 化 为 对 象 。 此 时 可 查看 项 程 中 是 否 引 入 可 利用 的 
commons-collections 3.1, commons-fileupload 1. 3. 1 等 第 三 方 库 ， 即 可 构造 特定 反 序列 化 对 象 实 
现任 意 代码 执行 。 相 关 三 方 库 及 利用 工具 可 参考 ysoserial、marshalsec。 































































































审计 策略 




















HTTP: 多 平台 之 间 的 通信 ， 管 理 等 
RMI: 是 Java 的 一 组 拥护 开发 分 布 式 应 用 程序 的 API， 实 现 了 不 同 操作 系统 之 间 程 序 的 方法 调用 。 值 
得 注意 的 是 ，RMI 的 传输 100% 基 于 反 序 列 化 ，Java RMI 的 默认 端口 是 1099 端口 。 
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jil 

















JMX: JMX 是 一 套 标准 的 代理 和 服务 , 用 户 可 以 在 任何 Java 应 用 程序 中 使 用 这 些 代理 和 服务 实现 管理 ， 
中 间 件 软件 WebLogic 的 管理 页 面 就 是 基于 JMX 开发 的 ， 而 JBoss 整个 系统 都 基于 JMX 构架 。 
定 反 序列 化 输入 点 : 首先 应 找 出 readObject 方法 调用 ， 在 找到 之 后 进行 下 一 步 的 注入 操作 。 一 六 
[以 通过 以 下 方法 进行 查找 : 
1) 寻找 可 以 利用 的 “ 靶 点 ”， 即 确定 调用 反 序 列 化 函数 read0bject 的 调用 地 点 。 
2) 对 该 应 用 进行 网 络 行为 抓 包 ， 寻 找 序列 化 数据 ， 如 wireshark, tcpdump 等 
YE: java 序列 化 的 数据 一 般 会 以 标记 Cac ed 00 05) FA, base64 编码 后 的 特征 为 r00AB。 
反 序 列 化 操作 一 般 在 导入 模版 文件 、 网 络 通信 、 数 据 传输 、 日 志 格式 化 存储 、 对 象 数 据 落 磁盘 或 DB 
存储 等 业务 场景 , 在 代码 审计 时 可 重点 关注 一 些 反 序列 化 操作 函数 并 判断 输入 是 否 可 控 ， 如 下 : 
Ob ject InputStream. readOb ject 
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re 








































































































Ob ject InputStream. readUnshared 
XMLDecoder. readOb ject 
Yaml. load 


XStream. fromXML 





Ob jectMapper. readValue 
JSON. parseOb ject 


修复 方案 












































如 果 可 以 明确 反 序 列 化 对 象 类 的 则 可 在 反 序 列 化 时 设置 白 名 单 , 对 于 一 些 只 提供 接口 的 库 则 可 使 用 黑 
名 单 设置 不 允许 被 反 序列 化 类 或 者 提供 设置 白 名单 的 接口 , 可 通过 Hook 函数 resolveClass 来 校 验 反 
序列 化 的 类 从 而 实现 白 名 单 校 验 ， 示 例如 下 : 

public class AntObjectInputStream extends ObjectInputStream{ 

































































a 



































public AntObjectInputStream(InputStream inputStream) 
throws IOException { 


super (inputStream) ; 





x 只 人 允许 反 序列 化 SerialObject class 
*/ 


@Override 





protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, 
ClassNotFoundException { 
if (!desc. getName (). equals (SerialObject. class. getName())) { 
throw new InvalidClassException( 
“Unauthorized deserialization attempt” 
desc. getName ()) ; 
} 


return super. resolveClass (desc) ; 


19 / 28 

















也 可 以 使 用 Apache Commons I0 Serialization 包 中 的 Validating0bjectInputStream 类 的 accept 
方法 来 实现 反 序 列 化 类 白 / 黑 名 单 控制 ， 如 果 使 用 的 是 第 三 方 库 则 升级 到 最 新 版 本 。 
























































示例 二 反 序 列 化 造成 的 权限 问题 


Serializable 的 类 的 固有 序列 化 方法 包括 readObject, writeObject. 

Serializable 的 类 的 固有 序列 化 方法 ， 还 包括 readResolve, writeReplace。 

它们 是 为 了 单 例 (singleton) 类 而 专门 设计 的 。 

根据 权限 最 小 化 原则 , 一般 情况 下 这 些 方 法 必须 被 声明 为 private void. 否则 如 果 Serializable 的 
类 开放 write0bject 函数 为 public 的 话 , 给 非 受 信 调 用 者 过 高 权限 , 潜在 有 风险 。 有些 情况 下 ， 比 
如 Serializable 的 类 是 Extendable， 被 子 类 继承 了 ， 为 了 确保 子 类 也 能 访问 方法 ， 那 么 这 些 方法 
必须 被 声明 为 protected， 而 不 是 private. 



























































审计 策略 





人 工 搜索 文 本 

public * writeObject 
public * readOb ject 
public * readResolve 


public * writeReplace 


修复 方案 





视 情 况 根据 上 下 文 而 定 ， 比 如 修改 为 
private void writeObject 

private void readOb ject 
protected Object readResolve 
protected Object writeReplace 


示例 三 反 序 列 化 造成 的 敏感 信息 泄露 




















在 Java 环境 中 ， 人 允许 处 于 不 同 受信 域 的 组 件 进行 数据 通信 ， 从 而 出 现 跨 受 信 边 界 的 数据 传输 。 不 要 
列 化 未 加 密 的 敏感 数据 ， 不 要 允许 序列 化 绕 过 安全 管理 器 。 
public class GPSLocation implements Serializable 


{ 


private double x; // sensitive field 
































ar 

















private double y; // sensitive field 
private String id;// non-sensitive field 
// other content 

} 


public class Coordinates 
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{ 


public static void main(String[] args) 


{ 


FileOutputStream fout = null; 


try 
{ 


GPSLocation p = new GPSLocation(5, 2, “northeast”) ; 


fout = new FileOutputStream(” location. ser”); 


ObjectOutputStream oout = new ObjectOutputStream(fout) ; 


oout. writeOb ject (p) ; 


oout. close(); 


} 
catch 


{ 


(Throwable t) 


// Forward to handler 


} 


{ 


{ 


try 


{ 





} 


finally 


if (fout != null) 


fout. close(); 


catch (IOException x) 


{ 


// handle error 


} 
} 
} 
} 
} 





在 这 段 示例 代码 





恶意 算 改 的 风险 。 


审计 策略 





要 根据 实际 业务 场景 定义 敏感 数 寺 





Ph, 假定 

















修复 方案 





EH 


al aN Bl E HIER 

















写法 如 下 








= 


i o 





对 了 








E 标 信息 是 敏感 的 ， 那么 将 其 序列 化 到 数据 流 





经 被 确定 为 敏感 的 数 扩 














public class GPSLocation implements Serializable 
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a 











使 之 面 

















虽 搜 索 示 例 一 








P 相关 的 关键 


临 敏 感 信 息 泄露 





rm 


T e 


{ 

private transient double x; // transient field will not be serialized 

private transient double y; // transient field will not be serialized 

private String id; 

// other content 

} 

要 根据 实际 情况 修复 。 一 般 情况 下 ， 一 旦 定位 ， 修 复方 法 是 将 相关 敏感 数据 声明 为 transient, ix 
样 程序 保证 敏感 数据 从 序列 化 格式 中 忽略 的 。 


正确 示例 ( serialPersistentFields ) 





























public class GPSLocation implements Serializable 

{ 

private double x; 

private double y; 

private String id; 

// sensitive fields x and y are not content in serialPersistentFields 

private static final ObjectStreamField[] serialPersistentFields = {new 

Ob jectStreamField(“id’, String. class) }; 

// other content 

} 

该 示例 通过 定义 serialPersistentFields 数组 字段 来 确保 敏感 字段 被 排除 在 序列 化 之 外 ， 除 了 上 述 
方案 ， 也 可 以 通过 自 定义 writeObject(). writeReplace(). writeExternal () 这 些 函 数 ， 不 将 包含 
敏感 信息 的 字段 写 到 序列 化 字 节 流 中 。 特 殊 情 况 下 ， 正 确 加 密 了 的 敏感 数据 可 以 被 序列 化 。 














































































































示例 四 静态 内 部 类 的 序列 化 问题 











对 非 静 态 内 部 类 的 序列 化 依赖 编译 器 ， 且 随 着 平台 的 不 同 而 不 同 ， 容 易 产 生 错 误 。 
对 内 部 类 的 序列 化 会 导致 外 部 类 的 实例 也 被 序列 化 。 这 样 有 可 能 泄露 敏感 数据 。 


public class DistributeData implements SerializedName { 






























































public class CodeDetail {...} 


} 
CodeDetail 并 不 会 被 序列 化 。 


public class DistributeData implements SerializedName { 























public class CodeDetail implements SerializedName{... } 





4k NotSerializableException, ÆR, CodeDetail 这 个 类 虽然 实现 了 Serializable 接口 ， 但 


CodeDetail 在 项 目 中 是 以 内 部 类 的 形式 定义 的 。 


public class DistributeData implements SerializedName { 









































public static class CodeDetail implements SerializedName{... } 


} 
































上 面 的 这 种 形式 可 以 被 序列 化 但 是 容易 造成 敏感 信息 泄露 。 
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审计 策略 





人 工 查找 implements Serializable 的 所 有 内 部 类 




















修复 方案 


class $ {InnerSer} {} 


去 除 内 部 类 的 序列 化 。 
static class ${InnerSer} implements Serializable {} 


把 内 部 类 声明 为 静态 从 而 被 序列 化 。 但 是 要 注意 遵循 示例 三 中 的 敏感 信息 问题 


路 径 安全 


介绍 


不 安全 的 路 径 获 取 或 者 使 用 会 使 黑客 容易 绕 过 现 有 的 安全 防护 。 
REA DOU .. /序列 的 参数 来 指定 位 于 特定 目录 之 外 的 文件 ， 从 而 违反 程序 安全 策略 ， 引 发 路 
径 遍 有 历 漏 洞 ， 攻 击 者 可 能 可 以 向 任意 目录 上 传 文件 。 


漏洞 示例 
















































































4 
nv 

































































Java 一 般 路 径 getPathO， 绝 对 路 径 getAbsolutePath() 和 规范 路 径 getCanonicalPath() 不 同 。 
举例 在 workspace 中 新 建 myTestPathPrj 工程 ， 运 行 如 下 代码 

public static void testPath() throws Exception { 

File file = new File(”.. \\src\\ testPath. txt”) ; 

System. out. println (file. getAbsolutePath()) ; 














System. out. println(file. getCanonicalPath()) ; 


} 
得 到 的 结果 形 如 : 
E: \workspace\myTestPathPrj\..\src\ testPath. txt 








E:\ workspace\src\ testPath. txt 


审计 策略 





查找 getPath，getAbsolutePath。 

再 排查 程序 的 安全 策略 配置 文件 ， 搜 索 permission Java. io. FilePermission 字样 和 grant 字样 ， 
防止 误 报 。 换 名 话说 ， 如 果 10 方案 中 已 经 做 出 防御 。 只 为 程序 的 绝对 路 径 赋 予 读 写 权 限 ， 其 他 目录 
不 赋予 读 写 权 限 。 那 么 目录 系统 还 是 安全 的 。 
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修复 方案 


尽量 使 用 getCanonicalPath () à 

































































或 者 使 用 安全 管理 器 ， 或 者 使 用 安全 配置 策略 文件 。 如 何 配置 安全 策略 文件 ， 和 县 体 使 用 























ra 











server 相关 。 








File. getCanonicalPath() 方 法 ， 它 能 在 所 有 的 平台 上 对 所 有 别名 、 快 捷 方 式 以 及 符号 链接 进行 一 




































































使 用 标准 形式 的 文件 路 径 来 做 验证 时 ， 攻 击 者 将 无 法 使 用 .. /序列 来 跳出 指定 目录 。 


Zip 文件 提取 


介绍 


从 java. util. zip. ZipInputStream 中 解压 文件 时 需要 小 心 谨慎 。 有 两 个 特别 的 






































问题 需要 避免 : 一 个 是 提取 出 的 文件 标准 路 径 落 在 解压 的 目标 目录 之 外 ， 男 一 个 是 所 种 




















地 解析 。 特 殊 的 文件 名 ， 比 如 “. . ”会 被 移 除 ， 这 样 输入 在 验证 之 前 会 被 简化 成 对 应 的 标准 形 



































文件 消耗 过 多 的 系统 资源 。 对 于 前 一 种 情况 ， 攻 击 者 可 以 从 zip 文件 中 往 用 户 可 访问 
目录 写 入 任意 的 数据 。 对 于 后 一 种 情况 ， 当 资源 使 用 远 远大 于 输入 数据 所 使 用 的 资源 


















































就 可 能 会 发 生 拒绝 服务 的 问题 。Zip 算法 的 本 性 就 可 能 会 导致 zip 炸弹 (zip bomb) 的 出 现 ， 















































由 于 极 高 的 压缩 率 ， 即 使 在 解压 小 文件 时 ， 比 如 ZIP、GIF， 以 及 gzip 编码 的 HTTP 
可 能 会 导致 过 度 的 资源 消耗 。 


漏洞 示例 


























static final int BUFFER = 512; 
TL sats 


public final void unzip(String fileName) throws java. io. IOException 


{ 


FileInputStream fis = new FileInputStream(fileName) ; 





ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis)) ; 
ZipEntry entry; 

while ((entry = zis. getNextEntry()) != null) 

{ 

System. out. println(’Extracting: ” + entry); 

int count; 

byte data[] = new byte[BUFFER]; 

// Write the files to the disk 

FileOutputStream fos = new FileQutputStream(entry. getName ()) ; 
BufferedOutputStream dest = new BufferedOutputStream(fos, BUFFER) ; 
while ((count = zis.read(data, 0, BUFFER)) != -1) 

{ 
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JA, tH 





dest. write(data, 0, count); 

} 

dest. flushQ) ; 

dest. close(); 

zis. closeEntry Q ; 

} 

zis. close(); 

} 

在 这 个 错误 示例 中 ， 未 对 解压 的 文件 名 做 验证 ， 直 接 将 文件 名 传递 给 FileOutputStream 构造 器 。 它 
也 未 检查 解压 文件 的 资源 消耗 情况 ， 它 允许 程序 运行 到 操作 完成 或 者 本 地 资源 被 耗 尽 。 

public static final int BUFFER = 512; 

public static final int TOOBIG = 0x6400000; // 100M 
TP sae 
public final void unzip(String filename) throws java. io. IOException 
{ 


FileInputStream fis = new FileInputStream(filename) ; 
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ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis)) ; 
ZipEntry entry; 

try 

{ 

while ((entry = zis. getNextEntry()) != null) 

{ 
System. out. println(’Extracting: ” + entry); 
int count; 
byte datal] = new byte[BUFFER]; 

// Write the files to the disk, but only if the file is not insanely 





big 

if (entry. getSize(Q > TOOBIG) 

{ 

throw new IllegalStateException ( 

“File to be unzipped is huge. ”); 

} 

if (entry. getSizeQ == -1) 

{ 

throw new IllegalStateException ( 

“File to be unzipped might be huge. ”) ; 

} 

FileOutputStream fos = new FileQutputStream(entry. getName ()) ; 
BufferedOutputStream dest = new BufferedOutputStream (fos 
BUFFER) ; 

while ((count = zis. read(data, 0, BUFFER)) != -1) 

{ 

dest. write(data, 0, count); 


} 
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dest. flushQ) ; 
dest. close() ; 
zis. closeEntry () ; 
} 

} 

finally 

{ 

zis. close(); 

} 

} 




















这 个 错误 示例 调用 ZipEntry. getSize 0 方法 在 解压 提取 一 个 条 目 之 前 判断 其 大 小 ， 以 试图 解决 之 前 
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的 问题 。 但 不 幸 的 是 , 恶意 攻击 者 可 以 伪造 ZIP 文件 中 用 来 描述 解压 条 目 大 





小 的 字段 , K 
























































方法 的 返回 值 是 不 可 靠 的 ， 本 地 资源 实际 仍 可 能 被 过 度 消耗 。 


全 局 搜索 如 下 关键 字 或 者 方法 


FileInputStream 








ZipInputStream 

getSize() 

ZipEntry 

如 果 出 现 getSize 基本 上 就 需要 特别 注意 了 。 


修复 方案 


static final int BUFFER = 512; 

static final int TOOBIG = 0x6400000; // max size of unzipped data, 100MB 
static final int TOOMANY = 1024; // max number of files 

are 


private String sanitzeFileName (String entryName, String intendedDir) throws 








rt 





I 


IOException 

{ 

File f = new File(intendedDir, entryName) ; 
String canonicalPath = f. getCanonicalPath(Q ; 
File iD = new File(intendedDir) ; 

String canonicalID = iD. getCanonicalPath() ; 
if (canonicalPath. startsWith (canonical ID) ) 
{ 

return canonicalPath; 

} 

else 


{ 


throw new IllegalStateException( 
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Jk, getSizeQ 


“File is outside extraction target directory. ”); 

} 

} 

J 

public final void unzip(String fileName) throws java. io. IOException 

{ 

FileInputStream fis = new FileInputStream (fileName) ; 

ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis)) ; 
ZipEntry entry; 

int entries = 0; 

int total = 0; 

byte[] data = new byte[BUFFER]; 

try 

{ 

while ((entry = zis. getNextEntry()) != null) 

{ 
System. out. println(“Extracting: ” + entry); 
int count; 
// Write the files to the disk, but ensure that the entryName is valid 
// and that the file is not insanely big 





String name = sanitzeFileName(entry. getName(), ”.”); 

FileOutputStream fos = new FileQutputStream(name) ; 

BufferedOutputStream dest = new BufferedOutputStream(fos, BUFFER) ; 

while (total + BUFFER <= TOOBIG && (count = zis. read(data, 0, BUFFER)) != 
-1) 

{ 

dest. write(data, 0, count); 

total += count; 

} 

dest. flush C) ; 

dest. close () ; 

zis. closeEntry() ; 

entries+t+; 

if (entries > TOOMANY) 

{ 
throw new IllegalStateException(”Too many files to unzip. ^); 
} 
if (total > TOOBIG) 
{ 


throw new IllegalStateException ( 





“File being unzipped is too big.”); 
} 
} 
} 
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finally 

{ 

zis. close(); 

} 

} 

在 这 个 正确 示例 中 ， 代 码 会 在 解压 每 个 条 目 之 前 对 其 文件 名 进行 校 验 。 如 果 某 个 条 目 校 验 不 通过 ， 整 
个 解压 过 程 都 将 会 被 终止 。 实 际 上 也 可 以 忽略 跳 过 这 个 条 目 ， 继 续 后 面 的 解压 过 程 ， 甚 至 也 可 以 将 这 
个 条 目 解压 到 某 个 安全 位 置 。 除 了 校 验 文件 名 ，while 循环 中 的 代码 会 检查 从 zip 存档 文件 中 解压 出 
来 的 每 个 文件 条 目的 大 小 。 如 果 一 个 文件 条 目 太 大 ， 此 例 中 是 100MB， 则 会 抛 出 异常 。 最 后 ， 代 码 会 
计算 从 存档 文件 中 解压 出 来 的 文件 条 目 总 数 ， 如 果 超 过 1024 个 ， 则 会 抛 出 异常 。 


读者 须知 : 


欢迎 加 入 小 密 圈 【 源 代 码 安全 审计 与 SDL】 查 看 更 多 代码 审计 知识 ， 限 时 低 价 : 














© 知识 星球 


Bt: 黑客 小 平 哥 
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长 按 扫 码 预览 社 群 内 容 
和 星 主 关 系 更 近 一 步 
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